IT-KB.RU
3.18K subscribers
138 photos
11 videos
15 files
801 links
Собрание заметок об информационных технологиях

@EugeneLeitan 👀🧑‍💻
Download Telegram
Новая статья Вики "Powershell скрипт опроса сети для поиска нестандартных сетевых каталогов (исключая административные и служебные)"

Иногда требуется провести аудит локальной сети на предмет наличия на компьютерах пользователей и серверах общих сетевых каталогов, не учитывая при этом какие-то служебные и стандартные административные сетевые каталоги. Здесь представлен вариант Powershell-скрипта, который решает данную задачу.

https://wiki.it-kb.ru/powershell/security-audit/powershell-script-for-network-scan-to-find-non-standard-non-administrative-shared-folders-on-computers-and-servers

#PowerShell #PoSH #Network #Сеть #Security #Безопасность #Аудит
Как понять, что ваш сайт взломали?

В настоящее время взломы сайтов становятся массовым, поставленным на поток процессом. Сайты могут взламывать ради использования их мощностей (популярный нынче майнинг, участие в ботнете и т.д.). Также злоумышленники могут быть заинтересованы в краже содержимого вашего ресурса или продвижении собственного контента (реклама, фишинг). В любом случае, злоумышленники постараются выжать максимум из успешного взлома, то есть остаться незамеченными как можно дольше, извлекая из взломанного сайта как можно больше выгоды.

https://m.habr.com/company/acribia/blog/355004/

#Web #Security #Безопасность
​​Ошибка "Server failed to start. HPE B-series SAN Network Advisor will be rolled back to previous version" при обновлении с версии 14.2 на версию 14.4

В одной из прошлых заметок мы рассматривали процедуру обновления экземпляра HPE B-series SAN Network Advisor 12.4.1 до более новой версии 12.4.2 методом in-place upgrade. Принципиальных отличий процедура обновлений не претерпела и до текущих релизов 14 версии продукта. Однако между под-версиями 14.2 и 14.3 произошли некоторые изменения уровня безопасности, в результате которых процесс обновления может завершиться ошибкой.


#Brocade , #HewlettPackard , #Security, #AAA , #Bseries , #BNA , #Brocade , #Certificate , #CHAP , #HP , #HPE , #Java , #LDAP , #LDAPS , #Logging , #Login , #NetworkAdvisor , #RADIUS , #RSA , #SAN , #Security , #SHA1 , #SHA2 , #SSL , #Troubleshooting , #Upgrade
​​Добавлена статья в блоге IT-KB.RU

Августовские обновления Windows требуют тщательного предварительно тестирования перед развёртыванием

Появившиеся в службе Windows Update и WSUS в начале этой недели Августовские кумулятивные обновления Windows нацелены на повышение уровня безопасности ОС и, в частности, исправляют проблему безопасности при работе с протоколом RDP, которую уже успели окрестить "BlueKeep-2". Однако, следует внимательно подходить к вопросу предварительного тестирования данных обновлений, чтобы не создать себе дополнительных проблем.

#Updates #RDP #RDS #Security #SEP #Symantec #VBA #VBS #VBScript #Windows10 #Windows7 #WindowsServer #WindowsServer1903 #WindowsServer2008R2 #WindowsUpdate #WSUS
​​Критические уязвимости в Cisco Discovery Protocol угрожают миллионам устройств.

Перечень уязвимых устройств

Routers:

ASR 9000 Series Aggregation Services Routers
Carrier Routing System (CRS)
Firepower 1000 Series
Firepower 2100 Series
Firepower 4100 Series
Firepower 9300 Security Appliances
IOS XRv 9000 Router
White box routers running Cisco IOS XR

Switches:

Nexus 1000 Virtual Edge
Nexus 1000V Switch
Nexus 3000 Series Switches
Nexus 5500 Series Switches
Nexus 5600 Series Switches
Nexus 6000 Series Switches
Nexus 7000 Series Switches
Nexus 9000 Series Fabric Switches
MDS 9000 Series Multilayer Switches
Network Convergence System (NCS) 1000 Series
Network Convergence System (NCS) 5000 Series
Network Convergence System (NCS) 540 Routers
Network Convergence System (NCS) 5500 Series
Network Convergence System (NCS) 560 Routers
Network Convergence System (NCS) 6000 Series
UCS 6200 Series Fabric Interconnects
UCS 6300 Series Fabric Interconnects
UCS 6400 Series Fabric Interconnects

IP Phones:

IP Conference Phone 7832
IP Conference Phone 8832
IP Phone 6800 Series
IP Phone 7800 Series
IP Phone 8800 Series
IP Phone 8851 Series
Unified IP Conference Phone 8831
Wireless IP Phone 8821
Wireless IP Phone 8821-EX

IP Cameras:

Video Surveillance 8000 Series IP Cameras

Источник

#Cisco #Network #Security
​​Добавлена запись в наш блог IT-KB.RU

"Уязвимость CallStranger (CVE-2020-12695) в Universal Plug and Play (UPnP) и PowerShell скрипт для сканирования сети по протоколу SSDP"

На прошлой неделе в Российском сегменте Интернета снова заговорили о проблемах безопасности в технологии Universal Plug and Play (UPnP). Например, можно ознакомится со статьями Уязвимость в UPnP, подходящая для усиления DDoS-атак и сканирования внутренней сети и Уязвимость UPnP, позволяющая сканировать сети и организовывать DDoS-атаки, признана официально. В разных источниках проблемы безопасности UPnP рассматриваются в большей степени в контексте устройств и ПО, подключенных к глобальной сети Интернет. Однако, хочется отметить тот факт, что неконтролируемые администраторами технологии UPnP несут в себе определённые риски и в рамках локальных корпоративных сетей. В этой статье мы рассмотрим простейший пример возможности эксплуатации уязвимости UPnP в локальной сети и поговорим о том, как можно выявить уязвимые устройства в сети для последующей их защиты.

👉 Далее...

#Security #Hardware #Networking #Script
🔥Уязвимость в SSH-клиентах OpenSSH и PuTTY

В SSH-клиентах OpenSSH и PuTTY выявлена уязвимость (CVE-2020-14002 в PuTTY и CVE-2020-14145 в OpenSSH), приводящая к утечке сведений в алгоритме согласования соединения. Уязвимость позволяет атакующему, способному вклиниться в канал связи (например, при подключении пользователя через контролируемую атакующим точку беспроводного доступа), определить попытку первоначального подключения клиента к хосту, когда клиентом ещё не прокэширован ключ хоста.

Зная, что клиент пытается подключиться в первый раз и ещё не имеет на своей стороне ключ хоста, атакующий может транслировать соединение через себя (MITM) и выдать клиенту свой хостовый ключ, который SSH-клиент посчитает ключом целевого хоста, если не выполнит сверку отпечатка ключа. Таким образом, атакующий может организовать MITM не вызвав подозрения у пользователя и игнорировать сеансы, в которых на стороне клиента уже имеются прокэшированные ключи хостов, попытка подмены которых приведёт к выводу предупреждения об изменении ключа хоста. Атака строится на беспечности пользователей, не выполняющих ручную проверку fingerprint-отпечатка ключа хоста при первом подключении. Те кто проверяют отпечатки ключей проблеме не подвержены.

В качестве признака для определения первой попытки подключения используется изменение порядка перечисления поддерживаемых алгоритмов хостовых ключей. В случае если происходит первое подключение клиент передаёт список алгоритмов по умолчанию, а если ключ хоста уже имеется в кэше, то связанный с ним алгоритм выставляется на первое место (алгоритмы сортируются в порядке предпочтения).

Проблема проявляется в выпусках с OpenSSH c 5.7 по 8.3 и в PuTTY с 0.68 по 0.73. Проблема устранена в выпуске PuTTY 0.74 через добавление опции для отключения динамического построения списка алгоритмов обработки хостовых ключей в пользу перечисления алгоритмов в постоянном порядке.

Проект OpenSSH не планирует изменять поведение SSH-клиента, так как если не указать алгоритм имеющегося ключа на первом месте, будет применена попытка применения не соответствующего прокэшированному ключу алгоритма с выводом предупреждения о неизвестном ключе. Т.е. возникает выбор - либо утечка информации (OpenSSH и PuTTY), либо вывод предупреждений о смене ключа (Dropbear SSH) в случае, если сохранённый ключ не соответствует первому алгоритму в списке по умолчанию.

Для обеспечения защиты в OpenSSH предлагается использовать альтернативные способы проверки ключа хоста при помощи записей SSHFP в DNSSEC и сертификатов хоста (PKI). Также можно отключить адаптивный выбор алгоритмов хостовых ключей через опцию HostKeyAlgorithms и использовать опцию UpdateHostKeys для получения клиентом дополнительных ключей хоста после аутентификации.

Источник

#Linux #Security #SSH #Putty #OpenSSH
SIGRed — новая критическая уязвимость в DNS Server. Как защититься?

Буквально на днях эксперты Check Point обнаружили новую уязвимость в DNS серверах на базе Windows. Т.е. в опасности практически каждая корпоративная сеть. Имя этой уязвимости — CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability. CVSS Score — 10.0. По утверждению Microsoft уязвимости подвержены абсолютно все версии Windows Server.
Уязвимость нацелена на переполнение буфера и практически не требует участия юзера. Под катом вы найдете видео с реализацией этой атаки, ее подробное описание, а самое главное, как обезопасить себя прямо сейчас.

Краткое описание:
Источник 1
Источник 2
Источник 3


Как защититься?

Способ 1. Обновление

Срочно установить обновление на Windows Server, который выступает в роли DNS — сервера.

Способ 2. Workaround

Если сейчас нет возможности установить обновление, то можно уменьшить максимальную длину DNS сообщений, что исключить переполнение буфера.

reg add «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters» /v «TcpReceivePacketSize» /t REG_DWORD /d 0xFF00 /f && net stop DNS && net start DNS


Способ 3. IPS

Если вы используете IPS на периметре сети (например в составе UTM или NGFW решения), то убедитесь, что у вас есть сигнатура (может придти после обновления).

#Microsoft #security #Windows #DNS
​​Рекомендации по безопасности, возможные проблемы, а также сводная информация по количеству и типу уязвимостей в соответствующих продуктах июльских обновлений безопасности Microsoft

Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на портале Security Update Guide.
Для Windows 7 и Windows 2008/R2 в интерфейсе Security Update Guide появилась отдельная категория ESU (Extended Security Updates)

https://news.microsoft.com/ru-ru/microsoft-security-updates-jul2020/

#Microsoft #PatchTuesday #Security
​​Добавлена статья Вики
"Замена само-подписанного SSL-сертификата на СХД HPE MSA 2050/2052"

Одна из задач по настройке контроллеров управления СХД HPE MSA 2052 – замена SSL сертификата, используемого для защиты соединения со встроенным веб-сервером, не может быть выполнена через графический веб-интерфейс. Однако существует возможность замены сертификата через интерфейс командной строки, которая описана в руководстве HPE MSA 1050/2050 CLI Reference Guide. В этой заметке мы рассмотрим пример замены SSL сертификата.

Далее...

 #HP #HPE #MSA #MSA2050 #MSA2052 #OpenSSL #Storage #SSL #SAN #Certificate #Security
​​Видеокурс "Безопасность Linux (2019)"

Цель курса
:
Сформировать у слушателей курса практические навыки и знания, позволяющие эффективно и безопасно конфигурировать ОС Linux, а также все сопутствующее ПО для обеспечения надежного уровня защищенности и предотвращения хакерских атак на ИТ-инфраструктуру.

Кому адресован курс:
- Системные администраторы желающие углубить свои знания в сфере обеспечения безопасности ИТ-инфраструктуры, построенной на базе ОС Linux
- Специалисты по информационной безопасности, сетевые инженеры, технические специалисты, отвечающие за настройку безопасных конфигураций ОС Linux и рабочего окружения
- ИТ/ИБ-аудиторы, занимающиеся вопросами технического обследования и тестирования безопасности ОС Linux и рабочего окружения, построенного на его основе

Программа курса:
Модуль 1 - Потенциальные цели для атаки со стороны злоумышленников
Модуль 2 - Концепции безопасности Linux
Модуль 3 - Управление пользователями и группами
Модуль 4 - Файлы, каталоги и конфигурирование прав доступа
Модуль 5 - Система безопасности PAM и cписки контроля доступа (Access Control Lists)
Модуль 6 - Пакетный фильтр Iptables
Модуль 7 - Безопасная настройка прокси-сервера SQUID
Модуль 8 - Шифрование данных
Модуль 9 - Система аудита и журнальные файлы
Модуль 10 - Квоты и лимитирование вычислительных ресурсов
Модуль 11 - Сетевые сканеры, анализаторы и системы обнаружения вторжения
Модуль 12 - Безопасная настройка сервисов
Модуль 13 - Безопасность сетевых соединений
Модуль 14 - Итоговая проектная работа

👉 Веб источник 👈
👉 Telegram источник (Часть 1, Часть 2, Часть 3) 👈

#Linux #Курс #Security
​​14 января мы узнали, что, если создать файл ярлыка Windows (.url) с расположением значка, установленным на “cd C:\:$i30:$bitmap”, то уязвимость будет активирована, даже если пользователь никогда не открывал этот файл, а только просматривал папку, в которой он находится.
Данная уязвимость доступна не только из под администратора, ее может использовать любой пользователь Windows 10 с низкими привилегиями в системе. Уязвимость можно активировать удаленно, а также встраивать в HTML. В некоторых системах после ее отработки повреждается MFT.

А 18 января эксперт обнаружил очередной баг в Windows 10, при использовании которого система уходит в ВSOD. Например, если ввести в адресную строку Chrome “\\.\globalroot\device\condrv\kernelconnect”, то во всех версиях Windows 10, начиная с 1709 и выше, включая 20H2, то система завершит работу и выдаст BSOD.

Будьте внимательны и следите за обновлениями ОС!

#Windows #Security
​​С учетом того, что Chrome является одним из наиболее часто используемых браузеров в России, предлагается обновить его до версии 88.0.4324.146 во избежание компрометации личных данных.

Опубликовано обновление браузера Chrome 88.0.4324.146 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2021-21142) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в реализации API Payments.

Кроме того, в новом выпуске устранено ещё 5 уязвимостей, из которых 4 присвоен высокий уровень опасности. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 52500 долларов США (одна премия $20000, две премии $10000, по одной премии $7500 и $5000). Размер одного вознаграждения пока не определён.

P.S. Microsoft Edge на базе Chromium пока без обновлений… Текущая версия 88.0.705.56

#Update #Security #Chrome
​​Виктор, участник чатика @chatitkbru, поделился своим опытом на тему применения такого open-source продукта, как Proxmox Mail Gateway.

Для информации:
Proxmox Mail Gateway — это решение для защиты корпоративных почтовых серверов от вирусов и спама, обеспечивает компании безопасность от известных и новых угроз электронной почты. Он использует различные локальные и сетевые тесты для распознавания сигнатур вирусов. Proxmox Mail Gateway проверяет каждое входящее сообщение на SMTP-уровне, то есть еще до того, как оно попадает в почтовый ящик. Алгоритмы Proxmox Mail Gateway сокращают ошибки по блокировке безопасных и пропуску вредоносных сообщений.

Установочный ISO-образ доступен для свободной загрузки. Специфичные для дистрибутива компоненты открыты под лицензией AGPLv3. Для установки обновлений доступен как платный репозиторий Enterprise, так и два бесплатных репозитория, которые отличаются уровнем стабилизации обновлений. Системная часть дистрибутива базируется на пакетной базе Debian 10 (Buster) и ядра Linux 5.3. Возможна установка компонентов Proxmox Mail Gateway поверх уже работающих серверов на базе Debian 10.

Предоставляется полный набор средств для обеспечения защиты, фильтрации спама, фишинга и вирусов. Для блокирования вредоносных вложений применяется ClamAV и база Google Safe Browsing, а против спама предлагается комплекс мер на основе SpamAssassin, включающий поддержку обратной проверки отправителя, SPF, DNSBL, серые списки, систему байесовской классификации и блокировку по базе спамерских URI. Для легитимной корреспонденции предоставляется гибкая система фильтров, позволяющих определять правила обработки почты в зависимости от домена, получателя/отправителя, времени получения и типа содержимого

Proxmox Mail Gateway функционирует как прокси-сервер, выступающий в роли шлюза между внешней сетью и внутренним почтовым сервером на базе MS Exchange, Lotus Domino или Postfix. Имеется возможность управления всеми входящими и исходящими потоками почтовой переписки. Все логи переписки разбираются и доступны для анализа через web-интерфейс. Предоставляются как графики для оценки общей динамики, так и различные отчёты и формы для получения информации о конкретных письмах и статусе доставки. Поддерживается создание кластерных конфигураций для обеспечения высокой доступности (ведение синхронизированного резервного сервера, данные синхронизируются через SSH-туннель) или балансировки нагрузки.

Видео обзор:
📹Обзор Proxmox mail gateway
📹Прием почты Proxmox mail gateway
📹Отправка писем Proxmox mail gateway


#Security #Mail #ProxmoxMailGateway
Все написали, и мы тоже в тренде...🔥

Компания Microsoft сообщает о проправительственной группировке, которая в настоящее время была замечена в массовых целевых атаках с использованием 0-day уязвимостей на почтовые серверы Microsoft Exchange Server крупных государственных компаний с целью кражи важных данных и получения удаленного контроля. На первом этапе злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации ранее неопубликованных уязвимостей (0-day). Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки, в настоящий момент – преимущественно с целью кражи данных. Аналогичные атаки наблюдаем на территории РФ.

В связи с этим компания Microsoft выпустила срочные обновления безопасности

Подробнее:
1️⃣ Важно! Внеплановые обновления безопасности Microsoft для Exchange от 2 марта 2021
2️⃣ HAFNIUM targeting Exchange Servers with 0-day exploits

#Exchange #Security #Updates
​​Запись блога IT-KB.RU
"Сканирование сети на предмет выявления модулей управления ИБП APC уязвимых к Ripple20"

В прошлом году компанией JSOF была публично раскрыта информация о целом наборе уязвимостей, корни которых уходят в древнюю библиотеку компании Treck, реализующую функции стека протоколов TCP/IP. Эту библиотеку на протяжении многих лет использовали разные производители аппаратного обеспечения для обеспечения работы TCP/IP во встроенном микрокоде firmware на множестве разных типов устройств. Данный пакет уязвимостей получил общее название Ripple20.

Уязвимости, входящие в состав Ripple20, имеют разные уровни критичности и среди них есть некоторые опасные уязвимости, позволяющие удалённо вызвать отказ в обслуживании или даже получать полный доступ над устройством со всеми вытекающими последствиями.

Данная проблема была освещена на множестве интернет-ресурсов, связанных с темой информационной безопасности. Вот некоторые из них:

▶️ Далее...

#Microsoft #APC #ИБП #Сеть #PowerShell #Security #nmap #SNMP
​​Сетевые атаки и защита

Перевод книги "Network Attacks and Defenses: A Hands-on Approach"

Важность экспериментального обучения давно признана и
подчеркнута среди педагогических методов. Эта книга
предназначена для ознакомления читателя с экспериментами по
атакам и защите сетевой безопасности с использованием простого
пошагового и практического подхода. Цель этой книги - научить
читателя тому, как выполнить несколько хорошо известных
сетевых атак и реализовать соответствующие меры сетевой
безопасности. Эта книга является катализатором для представления
образовательного подхода, который основан только на защитных
методах, чтобы позволить студентам лучше анатомировать и
развивать как наступательные, так и защитные методы. В нем
также описаны типовые сценарии, которые преподаватели могут
использовать для разработки и реализации инновационных
практических упражнений по обеспечению безопасности.

💾 Ссылка на скачивание

#Книга #Network #Security
​​Пока некоторые уже тестируют переход на официальную версию Windows 11, инженеры Microsoft Exchange 2016 и 2019 ставят очередные обновления безопасности:

- Exchange Server 2019 Cumulative Update 10 (KB5003612), VLSC Download, Download
- Exchange Server 2016 Cumulative Update 21 (KB5003611), Download, UM Lang Packs

Интерес вызывает еще тот момент, что не все еще установили патч для уязвимостей Proxylogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), который вышел в марте этого года и наделал много шума!

"Уязвимых к Proxylogon (не имеющих мартовского, апрельского или майского патча) – почти 12% (или 14.5к), при этом очень грустно, что за месяц с выхода майского обновления обновилось только 35%, ещё более грустно, что апрельского патча (который закрыл CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483) не имеют более 45% серверов!"
Источник

#Microsoft #Exchange #Security
​​Обновление Chrome 96.0.4664.110 с устранением критической и 0-day уязвимостей

Компания Google сформировала обновление Chrome 96.0.4664.110, в котором исправлены 5 уязвимостей, в том числе уязвимость (CVE-2021-4102), уже применяемая злоумышленниками в эксплоитах (0-day) и критическая уязвимость (CVE-2021-4098), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.

Детали пока не раскрываются, известно лишь, что 0-day уязвимость вызвана использованием памяти после её освобождения в движке V8, а критическая уязвимость связана с отсутствием должной проверки данных в IPC-фреймворке Mojo. Из других уязвимостей упоминаются переполнение буфера (CVE-2021-4101) и обращение к уже освобождённой памяти (CVE-2021-4099) в системе рендеринга Swiftshader, а также проблема (CVE-2021-4100) с жизненным циклом объектов в ANGLE, прослойке для трансляции вызовов OpenGL ES в OpenGL, Direct3D 9/11, Desktop GL и Vulkan.

#Chrome #Updates #Security